对网站劫持说No,是时候跟随Google和Apple,升级HTTPS了!
文 | 白及 半夏
互联网发展迅猛,但最基础的HTTPS访问协议却是一用十多年。这个最初的访问协议存在太多的问题,已经跟不上互联网发展的步伐。
比如说,用HTTP协议的网站、App容易被不良居心的人劫持。有图为证:
△ 以上图片均选自知乎
被劫持仅是HTTP最基础、常见的不足之处,HTTP的根本问题在于不够安全,数据安全、用户隐私也无从谈起:
- 使用明文通信(不加密),内容可能会被窃听;
- 不验证通信方的身份,有可能遭遇伪装;
- 无法验明报文的完整性,内容可能遭篡改。
放眼海外,隔壁家Google和Apple,早就明智地在访问协议上先行了一步:
- Google网站自2010年始就支持HTTPS访问,Chrome也将于2017年开始将HTTP网站标记为不安全。
- Apple悄无声息升级了HTTPS(可考时间为2014年),并要求App Store里的所有App于2016年底前必须使用HTTPS;
- HTTP/2协议在2015年发布后,Google宣布Chrome在2016年初结束SPDY的支持,Apple则在WWDC 2015大会中宣布iOS 9开始支持HTTP/2。
Google、Apple支持HTTPS、HTTP/2的意图不言而喻。
这说明什么??
说明网站和应用支持HTTPS、HTTP/2才是王道啊!
HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。
HTTP/2:HTTP/2即超文本传输协议 2.0,它相较第一代HTTP做了多项改进,更适应现在的Web环境。HTTP/2技术可以大幅提升网络速度、效率和安全性。
除了Google、Apple,很多国内厂商也在这方面做了努力,支付宝是国内较早支持了全站HTTPS的网站,淘宝显示在登录、结算、订单等页面加密,后升级为全站加密。百度等国内互联网巨头也陆续完成了全站HTTPS加密。
看到这里,我知道你们中的一些会不服气,迫不及待地想拉到底留言:站着说话不腰疼,你知道一个网站升级成HTTPS有多难么?要使用HTTP/2协议有多少限制么?
别急别急,小拍知道一个网站要升级成HTTPS是比较麻烦的,一堆技术难点不说,即使买最便宜的证书,每年都要花掉一千多软妹币。因此,最好的办法是: 寻找一家提供HTTPS、HTTP/2服务的云服务商。
首推的当然是自家又拍云。
推荐理由很简单,又拍云是国内首家提供全节点HTTPS访问(自定义 SSL 服务)的云CDN服务商。自 2015年CDN 2.0发布以来,又拍云全面支持客户自主上传SSL证书,实现自定义HTTPS访问,访问时延无感体验,降低升级HTTPS的门槛,做到安全与极速的平衡。
又拍云CDN SSL服务默认开启了对SPDY/3.1、OCSP Stapling的支持,SPDY协议通过对请求进行压缩、优先级排序和多路复用等方式,进一步缩减网页加载时间,经内部测算,减少约 30% 的访问时延。
最重要的是,通过又拍云申请证书是
免费的
免费的
免费的!
除了免费,又拍云的HTTPS服务,还有其他优势咯:
- 自主部署,即刻生效
- 支持HTTP/2协议,优化访问速度,降低CPU损耗
- 只需提供域名,又拍云全包实现HTTPS
- SSL证书申请免费
- 可选是否使用HSTS
不想被用户抛弃?赶紧使用HTTPS为自己的网站加密吧!